PDF de programación - Monitorización y Filtrado

Monitorización y
Filtrado

LSI - 2016/2017

José Manuel Vázquez Naya
[email protected]

Contenido

 Monitorización

 Herramientas y utilidades

 Filtrado

 Conceptos generales

 Firewalls

 Tipología

 Arquitecturas

 IpTables

MONITORIZACIÓN

Monitorización

 Análisis de logs y/o ejecución de benchmarks para la identificación

de problemas y sus causas

 Parámetros que conviene monitorizar:

 Utilización de memoria

 Accesos a disco

 Uso de CPU

 Actividad de red

Herramientas de monitorización

 Hardware

 dmesg (diagnostic message, mensajes de diagnóstico): es un comando
presente en los sistemas operativos Unix que lista el buffer de mensajes
del núcleo.

 Mensajes generados durante el arranque del sistema y durante la

depuración de aplicaciones

 La salida de dmesg se guarda en /var/log/dmesg

 lsmod: muestra qué módulos arrancables por el Kernel están cargados

actualmente (contenido del archivo /proc/modules)

 lspci: muestra información sobre los buses PCI en el sistema y los

dispositivos conectados a ellos.

 lsusb: similar, para buses USB y dispositivos

Herramientas de monitorización

 Dependencias

 ldd (List Dynamic Dependencies): muestra las bibliotecas compartidas

que necesita cada programa o biblioteca compartida especificada en la
línea de comandos

$ ldd /usr/sbin/sshd

linux-vdso.so.1 => (0x00007fffd67ff000)
libwrap.so.0 => /lib/libwrap.so.0 (0x00007faeb81a4000)
libpam.so.0 => /lib/libpam.so.0 (0x00007faeb7f98000)
libselinux.so.1 => /lib/libselinux.so.1 (0x00007faeb7d79000)
...

 ldconfig: se usa para crear, actualizar y borrar enlaces simbólicos para

librerías compartidas, en el archivo /etc/ld.so.conf

Herramientas de monitorización

 Procesos, archivos abiertos, etc.

 quota

 ulimit

 …

 Sistema de ficheros

 fsck

 mkfs

 mount

Herramientas de monitorización

 Monitorización de inicios de sesión: paquete acct

 apt-get install acct

 Utilidades

 sa:

 ac:

Resumen de la base de datos de accounting de procesos

Estadísticas acerca del tiempo de conexión de los usuarios

 lastcomm: Información acerca de los últimos comandos ejecutados

 who:

Lista los usuarios que tienen iniciada una sesión

 last:

Fechas de login y logout

 lastb:

Fechas de intentos erróneos de login

 uptime:

Tiempo que lleva encendido el sistema

Herramientas de monitorización

 Monitorización de uso de disco

 du

 df

Muestra la cantidad de disco usado

Muestra la cantidad de disco libre

 free

Utilización de dispositivos físicos y swapping

 Monitorización de procesos

 ps

 top

Lista procesos

Muestra información en tiempo real de los procesos del sistema

 atop, htop Similares a top

Herramientas de monitorización

atop

Herramientas de monitorización

 Monitorización de red

 iftop

Muestra conexiones de red

 iptraf

Proporciona estadísticas de red

 vnstat

Monitoriza tráfico de red y almacena log

Herramientas de monitorización

iftop

Monitorización

 Paquete sysstat (System Statistics)

 Contiene múltiples herramientas de monitorización

 apt-get install sysstat

 Habilitar en /etc/default/sysstat

 mpstat

Linux 2.6.32-5-686 (debian)

05/11/12

_i686_

(1 CPU)

11:20:43 CPU %usr
11:20:43 all

%idle
0,03 0,06 13,17 0,18 0,00 0,00 0,00 0,00 86,55

%sys %iowait

%guest

%nice

%irq

%soft

%steal

 iostat

avg-cpu: %user

%idle
0,03 0,06 13,17 0,18 0,00 86,56

%nice %system %iowait

%steal

Device: tps
sda
sdb

Blk_read/s Blk_wrtn/s Blk_read

Blk_wrtn
0,53 10,54 6,78 708350 455760
0,00 0,02 0,00 1122 0

 pidstat

Linux 2.6.32-5-686 (debian)

05/11/12

_i686_

(1 CPU)

11:31:59 PID %usr %system
11:31:59 1 0,00 0,00 0,00 0,00 0 init

%CPU CPU

%guest

Command

Monitorización

 Paquete sysstat (System Statistics)

 sar (System Activity Reporter)

Muestra información completa (todas las opciones)

Estadísticas Entrada/Salida

Estadísticas paginación

Número de procesos / seg

Estadísticas Entrada/Salida para cada dispositivo de bloques

Estadísticas gestión de energía

Estadísticas de red

Uso de memoria

Estadísticas de uso de swapping

Uso de CPU

 -A

 -b

 -B

 -c

 -d

 -m

 -n

 -r

 -S

 -u

 …

Monitorización

 Paquete sysstat (System Statistics)

 sar (System Activity Reporter)

root@debian:/var/log# sar -u 2 1
Linux 2.6.32-5-686 (debian)

05/11/12

_i686_

(1 CPU)

11:43:15 CPU %user
11:43:17 all
Media: all

%idle
0,50 0,00 0,50 0,00 0,00 99,00
0,50 0,00 0,50 0,00 0,00 99,00

%system

%nice

%iowait

%steal

root@debian:/var/log# sar -r 1 1
Linux 2.6.32-5-686 (debian)

05/11/12

_i686_

(1 CPU)

11:46:15 kbmemfree kbmemused
%commit
11:46:16 374096 660376 63,84 87484 425256 364604 24,12
Media: 374096 660376 63,84 87484 425256 364604 24,12

%memused kbbuffers

kbcached

kbcommit

root@debian:/var/log# sar -m 1 1
Linux 2.6.32-5-686 (debian)

05/11/12

_i686_

(1 CPU)

11:46:46 CPU MHz
2671,70
11:46:47 all
Media: all
2671,70

Monitorización

 Paquete sysstat (System Statistics)

 isag (Interactive System Activity Grapher)

 /var/log/sysstat/sa[n]

Monitorización

 Chequeos de integridad

 sxid

 Chequea que no se produzcan cambios en los atributos suid, sgid

 /etc/sxid.conf

 TripWire

 Chequea que no se produzcan cambios en los archivos del sistema

 Cambios de propietario, tamaño, permisos, contenido, etc.

 /etc/tripwire/twpol.txt

 Configuración y estado actual archivos se cifran con un par de claves

 Site key

 Local key

 ViperDB

Monitorización

 … herramientas vistas hasta el momento están pensadas para una

máquina local

 ¿Qué pasa en entornos mayores?

 Uso de herramientas centralizadas de monitorización

 nagios, ntop, Zabbix, …

 Comparación de sistemas de monitorización de redes

Monitorización

 En resumen…

Información

Información

Información

Información

Información

Información

Información

Información

Información

Información

Información

Información
Información

Información

Información

FILTRADO

Introducción
Seguridad perimetral

 Arquitectura y elementos de

red que proporcionan
seguridad a una red interna
frente a una red externa
(generalmente Internet)

 Los firewalls son el principal
“vigilante” de la entrada a un
equipo a través de la red

Introducción
Firewalls

 Un firewall (cortafuegos) es cualquier mecanismo, ya sea software o

hardware, que filtra el tráfico entre redes

 Separan zonas de confianza (trusted zones) de zonas potencialmente

hostiles (untrusted zones)

 Analizan, registran y pueden bloquear el tráfico

 Deniegan intentos de conexión no autorizados (en ambos sentidos)

 Se utilizan principalmente para prevenir ataques desde el exterior

hacia equipos de una red interna

 También utilizados para controlar el uso de la red por parte de los

equipos internos

 Pueden actuar en distintas capas del modelo TCP/IP

Introducción
Firewalls

 Escenario básico en el que un firewall controla el acceso de los
clientes en una red externa (no fiable) a servidores en una red
interna (fiable)

 El tráfico es autorizado o denegado dependiendo de la política de

seguridad implementada en el firewall

 Cada dominio de confianza puede incluir una o varias redes

Introducción
Firewalls

 Idealmente, un firewall debe tener las siguientes características:

 Todo tráfico de “dentro a fuera” (saliente) y de “fuera a dentro”

(entrante) debe pasar a través del firewall

 Sólo aquel tráfico autorizado, según la política de seguridad (reglas),

puede continuar su camino

 El firewall debe ser completamente inatacable

 Ningún firewall cumple estos requisitos al 100%, pero todos tratan

de acercarse a ellos

Introducción
Firewalls

 Ventajas

 Primera línea de defensa frente a ataques

 Mantienen a usuarios no autorizados fuera de la red protegida

 Prohíben el uso de servicios potencialmente vulnerables (e.g. telnet,

SMTP, etc.)

 Permiten la salida desde el interior

 Punto único para implantar una política de seguridad

 Punto único para realizar análisis y monitorización del tráfico

 Registro de accesos, intentos de intrusión, gestión de alarmas de

seguridad, auditorías, etc.

Introducción
Firewalls

 Limitaciones

 No protegen contra ataques que no pasen por el firewall

 Desde red interna a red interna

 Ej.: Amenazas internas: usuarios negligentes o malintencionados, wifi

mal protegida, virus en memorias USB, etc.

 Desde red externa a red interna sin pasar por el firewall

 Ej.: Conexiones wifi, móviles, módems, etc.

Introducción
Firewalls

 El uso de un firewall debe ser siempre parte de una política de

seguridad global

¡De nada sirve tener una puerta blindada

si dejo las ventanas abiertas!

TIPOS DE FIREWALLS

Tipos de firewalls

 Filtrado de paquetes (packet filtering)

 Filtrado estático o sin estado (stateless)

 Filtrado dinámico o con estado (stateful)

 Filtrado a nivel de aplicación

Tipos de firewalls
Filtrado de paquetes

 Router de filtrado de paquetes

 Aplica un conjunto de reglas a cada paquete IP y retransmite o descarta

dicho paquete

 Normalmente, se configura para filtrar paquetes que van en ambas

direcciones (desde y hacia red interna)

Tipos de firewalls

 Filtrado de paquetes (packet filtering)

 Filtrado estático o sin estado (stateless)

 Filtrado dinámico o con estado (stateful)

 Filtrado a nivel de aplicación

Tipos de firewalls
Filtrado estático de paquetes (stateless)

 Generalmente operan en las capas

3 (red) y 4 (transporte)

 Las reglas de filtrado se basan en

información contenida en el
paquete de red

 Direcciones IP de origen y destino

(ej.: 192.168.1.1)

 Números de puerto de or